微软利用GitHub仓库成功瓦解全球恶意广告网络，致近百万设备受到威胁

微软震撼出击，成功消灭全球恶意广告帝国，保护近百万设备安全

　　 3月8日消息，科技媒体bleepingcomputer昨日（3月7日）发布文章，指出微软已经成功摧毁了一些被用于广泛传播恶意广告的GitHub仓库。这些广告活动已经影响了全球近百万台设备。

　　 微软的威胁分析团队在2024年12月初发现了一些新的网络攻击活动。他们注意到，有多台设备通过GitHub仓库下载了恶意软件，并且在受感染的系统上部署了一系列其他恶意载荷。这一系列事件再次提醒我们，黑客利用开源平台进行恶意活动的风险正在不断上升。我们需要加强对代码托管平台的安全监管，同时提高用户的安全意识，以防止此类攻击的进一步扩散。

　　 微软在后续调查中确认，此类攻击主要分四个阶段进行。首先，攻击者会在非法盗版流媒体网站的视频中插入广告，这些广告会把潜在受害者引导到他们控制的恶意GitHub仓库。这些流媒体网站通常利用电影中的片段作为恶意广告重定向工具，从而赚取每次点击或观看的费用。这种方法不仅对用户构成了威胁，同时也暴露了流媒体平台监管漏洞。 这样的攻击手段不仅巧妙地利用了用户对于免费资源的追求，还揭示了网络盗版背后的复杂利益链。更令人担忧的是，这种攻击方式能够轻易渗透进看似普通的在线娱乐活动中，让用户在享受电影的同时面临安全风险。因此，除了加强个人防范意识外，流媒体平台也应当采取更为有效的措施来阻止此类行为的发生，以保护用户的隐私与安全。

　　 这些重定向器通过一到两个额外的恶意跳转，最终把流量引向恶意网站或技术支持骗局站点，随后再进一步引导至GitHub。

　　 恶意软件设计用于执行系统发现，收集详细系统信息（如内存大小、显卡详情、屏幕分辨率、操作系统和用户路径），并在部署第二阶段载荷时窃取数据。

　　 第三阶段的 PowerShell 脚本从命令控制服务器下载 NetSupport 远程访问木马（RAT），并在注册表中建立持久性。执行后，恶意软件还可部署 Lumma 信息窃取程序和开源 Doenerium 窃取程序，窃取用户数据和浏览器凭证。

　　 如果第三阶段的载荷是可执行文件，它会生成并执行一个CMD文件，同时还会释放一个经过重命名的AutoIt解释器。之后，AutoIt组件会启动该二进制文件，并有可能再次释放另一个版本的AutoIt解释器。 这种行为表明恶意软件正在利用合法工具来掩盖其真实意图。通过使用重命名的AutoIt解释器和生成CMD文件，攻击者试图绕过安全软件的检测。这种方式不仅增加了分析和防御的难度，也对用户的系统安全构成了严重威胁。这提醒我们，必须持续改进网络安全措施，提高检测与防御机制的灵敏度和准确性，以应对不断演变的威胁。

　　 AutoIt 载荷使用 RegAsm 或 PowerShell 打开文件，启用远程浏览器调试，并窃取更多信息，在某些情况下，PowerShell 还用于配置 Windows Defender 的排除路径或释放更多 NetSupport 载荷。

　　 GitHub是在此次活动中承载第一阶段载荷的主要平台，然而，微软威胁情报团队还发现部分载荷也在Dropbox和Discord上被托管。

　　 此次攻击活动被称为“Storm-0408”，牵涉到多个与远程访问或信息窃取有关的威胁行为者。这些行为者通过网络钓鱼、搜索引擎优化（SEO）或恶意广告活动来传播恶意载荷。这类攻击不仅显示了黑客技术的日益精进，也凸显了网络安全环境的严峻形势。在当前数字化时代，用户需要更加警惕，并采取更为有效的防护措施以应对不断变化的网络威胁。